Firmenfeier-Fotos sammeln: Was die Geschäftsführung freut und der Datenschutz erlaubt
Eine gut dokumentierte Firmenfeier ist intern Gold wert — Sommerfest-Fotos im nächsten Recruiting-Pitch, Weihnachtsfeier-Highlights im Q1-Townhall. Gleichzeitig ist Datenschutz bei Mitarbeitenden ein eigenes Thema. Hier die Regeln und der pragmatische Workflow.
Warum Firmenfeier ≠ private Hochzeit aus Datenschutzsicht
Eine Hochzeit fällt unter die DSGVO-Haushaltsausnahme (Art. 2 Abs. 2 lit. c). Eine Firmenfeier nicht — hier ist der Arbeitgeber Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO, sobald er Fotos sammelt oder eine Galerie bereitstellt.
Das hat drei praktische Konsequenzen: eine Rechtsgrundlage ist nötig, ein Foto-Veto-Recht ist Pflicht, und ein Verarbeitungsverzeichnis nach Art. 30 DSGVO muss die Galerie-Verarbeitung aufführen.
Welche Rechtsgrundlage greift?
Zwei realistische Optionen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) oder lit. f (berechtigtes Interesse). Einwilligung ist sauberer, aber operativ aufwendig — schriftliche Einwilligung von jeder Person, jederzeit widerrufbar. Berechtigtes Interesse funktioniert für rein interne Dokumentation, scheitert aber, sobald Fotos für Marketing oder Recruiting genutzt werden.
Pragmatisch: Foto-Sammlung auf berechtigtes Interesse stützen, mit dokumentiertem Foto-Veto. Marketing-Verwendung der besten Bilder über separate Einwilligung absichern.
Die saubere Einwilligungs-Strategie
- In der Einladung erwähnen: „Es wird eine private Foto-Galerie geben. Wer möchte, lädt Bilder hoch und nutzt die Galerie. Wer auf keinen Bildern erscheinen möchte, sagt vorher Bescheid — wir respektieren das.“
- Am Eingang ein Aushang: Galerie-Code plus Hinweis zum Foto-Veto.
- Bei kleinerem Team: kurze Ansage durch die Geschäftsführung beim Sektempfang.
- Schriftliche Einwilligung nur bei sensiblen Verarbeitungen (z. B. spätere Veröffentlichung auf der Karriere-Seite).
- Foto-Vetos dokumentieren — am besten in einer Excel-Liste, die HR ablegt.
Was die Galerie technisch leisten muss
- Code-geschützt, keine öffentlichen Links.
- Server in der EU, idealerweise Deutschland.
- Keine Indizierung durch Suchmaschinen.
- Löschanfragen einzelner Mitarbeitender müssen umsetzbar sein (Foto plus alle Reaktionen darauf).
- EXIF-Entfernung beim Upload, damit GPS-Daten nicht durchgereicht werden.
- Auftragsverarbeitungsverträge mit allen Subunternehmern dokumentiert.
Speicherdauer — die unterschätzte Frage
Sommerfest-Fotos sind nach 12 Monaten meist obsolet. Eine pauschale Speicherdauer von 12–24 Monaten ist üblich und gut begründbar. Länger nur, wenn die Bilder konkret für Marketing oder Recruiting verwendet werden — dann braucht es aber eine separate Einwilligung mit klar definiertem Verwendungszweck.
Die häufigsten Fehler
- WhatsApp-Gruppe „Sommerfest“ mit allen Mitarbeitenden → DSGVO-Drama, Meta hat alles, kaum revisionssicher löschbar.
- Fotos auf die öffentliche Karriere-Seite ohne separate Einwilligung der abgebildeten Personen.
- „Wir veröffentlichen die Bilder nur intern“ → trotzdem braucht es eine dokumentierte Rechtsgrundlage.
- Foto-Veto wird mündlich besprochen, aber nicht dokumentiert — bei späterer Beschwerde keine Nachweise.
- Keine Speicherdauer definiert → Fotos liegen jahrelang rum, Aufsichtsbehörde unzufrieden.
Was bei hatira speziell ist
Hosting komplett in Deutschland (Hetzner), Bilder über CDN in der EU, EU-Auftragsverarbeitungsverträge mit allen Subunternehmern. Galerien sind Code-geschützt und tauchen in keiner Suchmaschine auf. Eure HR oder eure*r Datenschutzbeauftragte*r kann unsere Datenschutzerklärung direkt prüfen — wir liefern alle Angaben, die in das Verarbeitungsverzeichnis nach Art. 30 DSGVO gehören.
Wenn ihr regelmäßig Firmenevents dokumentiert (Eventagentur, HR-Dienstleister), bieten wir Mehrjahres-Verträge und Bulk-Codes an. Kurze Mail an hello@hatira.io reicht.